Nginx服務(wù)器作反向代理實(shí)現(xiàn)內(nèi)部局域網(wǎng)的url轉(zhuǎn)發(fā)配置

更新時(shí)間：2016年01月27日 16:08:41 投稿：goldensun

這篇文章主要介紹了Nginx服務(wù)器作反向代理實(shí)現(xiàn)內(nèi)部局域網(wǎng)的url轉(zhuǎn)發(fā)實(shí)例,文中提到需要注意proxy_read_timeout參數(shù)的相關(guān)調(diào)整,需要的朋友可以參考下

情景
由于公司內(nèi)網(wǎng)有多臺(tái)服務(wù)器的http服務(wù)要映射到公司外網(wǎng)靜態(tài)IP，如果用路由的端口映射來做，就只能一臺(tái)內(nèi)網(wǎng)服務(wù)器的80端口映射到外網(wǎng)80端口，其他服務(wù)器的80端口只能映射到外網(wǎng)的非80端口。非80端口的映射在訪問的時(shí)候要域名加上端口，比較麻煩。并且公司入口路由最多只能做20個(gè)端口映射。肯定以后不夠用。
然后k兄就提議可以在內(nèi)網(wǎng)搭建個(gè)nginx反向代理服務(wù)器，將nginx反向代理服務(wù)器的80映射到外網(wǎng)IP的80，這樣指向到公司外網(wǎng)IP的域名的HTTP請(qǐng)求就會(huì)發(fā)送到nginx反向代理服務(wù)器，利用nginx反向代理將不同域名的請(qǐng)求轉(zhuǎn)發(fā)給內(nèi)網(wǎng)不同機(jī)器的端口，就起到了“根據(jù)域名自動(dòng)轉(zhuǎn)發(fā)到相應(yīng)服務(wù)器的特定端口”的效果，而路由器的端口映射做到的只是“根據(jù)不同端口自動(dòng)轉(zhuǎn)發(fā)到相應(yīng)服務(wù)器的特定端口”，真是喜大普奔啊。
涉及的知識(shí)：nginx編譯安裝，nginx反向代理基本配置，路由端口映射知識(shí)，還有網(wǎng)絡(luò)域名等常識(shí)。
本次實(shí)驗(yàn)?zāi)繕?biāo)是做到：在瀏覽器中輸入xxx123.tk能訪問到內(nèi)網(wǎng)機(jī)器192.168.10.38的3000端口，輸入xxx456.tk能訪問到內(nèi)網(wǎng)機(jī)器192.168.10.40的80端口。
配置步驟
服務(wù)器ubuntu 12.04

###更新倉(cāng)庫(kù)

apt-get update -y
apt-get install wget -y
#下載nginx和相關(guān)軟件包

pcre是為了編譯rewrite模塊，zlib是為了支持gzip功能。額，這里nginx版本有點(diǎn)舊，因?yàn)槲疫€要做升級(jí)nginx的實(shí)驗(yàn)用。大家可以裝新版本。

cd /usr/local/src
 wget <a href="ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.33.tar.gz">ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.33.tar.gz</a>
 wget <a >http://zlib.net/zlib-1.2.8.tar.gz</a>
 wget <a >http://nginx.org/download/nginx-1.4.2.tar.gz</a>
 tar xf pcre-8.33.tar.gz
 tar xf zlib-1.2.8.tar.gz
#安裝編譯環(huán)境

 apt-get install build-essential libtool -y
#創(chuàng)建nginx用戶

所謂的unprivileged user

useradd -s /bin/false -r -M -d /nonexistent www
#開始編譯安裝

/configure --with-pcre=/usr/local/src/pcre-8.33 --with-zlib=/usr/local/src/zlib-1.2.8 --user=www --group=www \
 --with-http_stub_status_module --with-http_ssl_module --with-http_realip_module
 make
 make install
#給文件夾授權(quán)

chown -R www:www /usr/local/nginx
#修改配置文件
vim nginx.conf

user www www;
worker_processes 1;
error_log logs/error.log;
pid logs/nginx.pid;
worker_rlimit_nofile 65535;
events {
  use epoll;
  worker_connections 65535;
}
http {
  include mime.types;
  default_type application/octet-stream;
  include /usr/local/nginx/conf/reverse-proxy.conf;
  sendfile on;
  keepalive_timeout 65;
  gzip on;
  client_max_body_size 50m; #緩沖區(qū)代理緩沖用戶端請(qǐng)求的最大字節(jié)數(shù),可以理解為保存到本地再傳給用戶
  client_body_buffer_size 256k;
  client_header_timeout 3m;
  client_body_timeout 3m;
  send_timeout 3m;
  proxy_connect_timeout 300s; #nginx跟后端服務(wù)器連接超時(shí)時(shí)間(代理連接超時(shí))
  proxy_read_timeout 300s; #連接成功后，后端服務(wù)器響應(yīng)時(shí)間(代理接收超時(shí))
  proxy_send_timeout 300s;
  proxy_buffer_size 64k; #設(shè)置代理服務(wù)器（nginx）保存用戶頭信息的緩沖區(qū)大小
  proxy_buffers 4 32k; #proxy_buffers緩沖區(qū)，網(wǎng)頁(yè)平均在32k以下的話，這樣設(shè)置
  proxy_busy_buffers_size 64k; #高負(fù)荷下緩沖大小（proxy_buffers*2）
  proxy_temp_file_write_size 64k; #設(shè)定緩存文件夾大小，大于這個(gè)值，將從upstream服務(wù)器傳遞請(qǐng)求，而不緩沖到磁盤
  proxy_ignore_client_abort on; #不允許代理端主動(dòng)關(guān)閉連接
  server {
    listen 80;
    server_name localhost;
    location / {
      root html;
      index index.html index.htm;
    }
    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
      root html;
    }
  }
}

編輯反向代理服務(wù)器配置文件：

vim /usr/local/nginx/conf/reverse-proxy.conf

server
{
  listen 80;
  server_name xxx123.tk;
  location / {
    proxy_redirect off;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass http://192.168.10.38:3000;
  }
  access_log logs/xxx123.tk_access.log;
}
 
server
{
  listen 80;
  server_name xxx456.tk;
  location / {
    proxy_redirect off;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass http://192.168.10.40:80;
  }
  access_log logs/xxx456.tk_access.log;
}

然后重新加載nginx配置文件，使之修改生效，再把xxx123.tk域名指向公司靜態(tài)IP，這樣就成功的做到了在瀏覽器中輸入xxx123.tk的時(shí)候訪問的內(nèi)網(wǎng)服務(wù)器192.168.10.38的3000端口,輸入xxx456.tk訪問192.168.10.40的80端口的作用。
如果想對(duì)后端機(jī)器做負(fù)載均衡，像下面這配置就可以把對(duì)nagios.xxx123.tk的請(qǐng)求分發(fā)給內(nèi)網(wǎng)的131和132這兩臺(tái)機(jī)器做負(fù)載均衡了。

upstream monitor_server {
  server 192.168.0.131:80;
    server 192.168.0.132:80;
}
 
server
{
  listen 80;
  server_name nagios.xxx123.tk;
  location / {
    proxy_redirect off;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 
    proxy_pass http://monitor_server;
  }
  access_log logs/nagios.xxx123.tk_access.log;
}

額，關(guān)于負(fù)載均衡和緩存就不多說了，這里只是要起到一個(gè)簡(jiǎn)單的“域名轉(zhuǎn)發(fā)”功能。
另外，由于http請(qǐng)求最后都是由反向代理服務(wù)器傳遞給后段的機(jī)器，所以后端的機(jī)器原來的訪問日志記錄的訪問IP都是反向代理服務(wù)器的IP。
要想能記錄真實(shí)IP，需要修改后端機(jī)器的日志格式，這里假設(shè)后端也是一臺(tái)nginx：
在后端配置文件里面加入這一段即可：

log_format access '$HTTP_X_REAL_IP - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" $HTTP_X_Forwarded_For';
 
access_log logs/access.log access;

再看看原來日志的格式長(zhǎng)什么樣：

#log_format main '$remote_addr - $remote_user [$time_local] "$request" '
# '$status $body_bytes_sent "$http_referer" '
# '"$http_user_agent" "$http_x_forwarded_for"';
 
#access_log logs/access.log main;

看出區(qū)別了吧

遇到的問題

之前沒配置下面這段，訪問時(shí)候偶爾會(huì)出現(xiàn)504 gateway timeout，由于偶爾出現(xiàn)，所以不太好排查

  proxy_connect_timeout 300s;
  proxy_read_timeout 300s;
  proxy_send_timeout 300s;
  proxy_buffer_size 64k;
  proxy_buffers 4 32k;
  proxy_busy_buffers_size 64k;
  proxy_temp_file_write_size 64k;
  proxy_ignore_client_abort on;

報(bào)錯(cuò)日志：

...upstream timed out (110: Connection timed out) while reading response header from upstream, client: ...(后面的省略）
從日志看來是連接超時(shí)了，網(wǎng)上一通亂查之后估計(jì)可能是后端服務(wù)器響應(yīng)超時(shí)了，本著大膽假設(shè)，小心求證的原則，既然假設(shè)了錯(cuò)誤原因就要做實(shí)驗(yàn)重現(xiàn)錯(cuò)誤：那就調(diào)整代理超時(shí)參數(shù)，反過來把代理超時(shí)閥值設(shè)?。ū热?ms）看會(huì)不會(huì)次次出現(xiàn)504。后來發(fā)現(xiàn)把proxy_read_timeout 這個(gè)參數(shù)設(shè)置成1ms的時(shí)候，每次訪問都出現(xiàn)504。于是把這個(gè)參數(shù)調(diào)大，加入上面那段配置，解決問題了。

PS：關(guān)于域名轉(zhuǎn)發(fā)

所謂域名URL轉(zhuǎn)發(fā)，是通過服務(wù)器的特殊設(shè)置，將訪問您當(dāng)前域名的用戶引導(dǎo)到您指定的另一個(gè)網(wǎng)絡(luò)地址。地址轉(zhuǎn)向（也可稱“URL轉(zhuǎn)發(fā)”）即將一個(gè)域名指向到另外一個(gè)已存在的站點(diǎn)，英文稱為“ URL FORWARDING ”。域名指向可能這個(gè)站點(diǎn)原有的域名或網(wǎng)址是比較復(fù)雜難記的。
已經(jīng)注冊(cè)成功的域名，若初設(shè)或取消 URL 轉(zhuǎn)發(fā)設(shè)置，一般均在 24-48 小時(shí)之內(nèi)生效。對(duì)于原有已經(jīng)設(shè)置成功的 URL 轉(zhuǎn)發(fā)域名，如果修改 URL 轉(zhuǎn)發(fā)的目標(biāo)地址，則只需 1-2 個(gè)小時(shí)即可生效。
不隱藏路徑 URL 轉(zhuǎn)發(fā)：例如： http://b.com/ 指向 http://a.com/xxx/ （任意目錄）；當(dāng)在瀏覽器地址欄中敲入 http://b.com/ 后回車， IE 瀏覽器的地址欄里顯示的地址會(huì)由原來您敲入的 http://b.com/ 自動(dòng)變?yōu)轱@示真正的目標(biāo)地址 http://a.com/xxx/ ；
隱藏路徑的 URL 轉(zhuǎn)發(fā)：例如：先同上， IE 瀏覽器的地址欄里顯示的地址保持不變，仍是 http://b.com/ ，但實(shí)際訪問到的是 http://a.com/xxx/ 的內(nèi)容。

您可能感興趣的文章: